Omnigentのコンテキストポリシー:セッション状態を利用したAIエージェントのより良いガバナンス
Databricksが公開したオープンソースのメタハーネスOmnigentは、セッション履歴を追跡してAIエージェントの動作を動的に制御するコンテキストポリシーを導入し、予算制限、ドキュメントアクセス制限、リスクスコアリングなど、より安全で柔軟なガバナンスを実現します。
Databricksは先日、オープンソースのメタハーネス「Omnigent」をリリースしました。これは、AIエージェントに統一されたポリシー管理レイヤーを提供するものです。従来のエージェントツールとは異なり、Omnigentは「コンテキストポリシー」という概念を導入し、ポリシーが個々の操作だけでなく、エージェントセッションの完全な履歴に基づいて評価・決定できるようにします。
従来のエージェントフレームワークは、単純な許可/拒否ルール(例:Gitプッシュやウェブ検索の許可)しか提供しておらず、セキュリティと利便性のバランスを取ることが困難でした。特に、プロンプトインジェクション攻撃に対して脆弱でした。Omnigentのコンテキストポリシーは、セッション状態(既読ドキュメント、累計コスト、リスクスコアなど)を維持することで、動的かつよりきめ細かなアクセス制御を実現します。
例えば、組み込みのコストポリシーは、セッション中のモデル呼び出しコストを追跡します。ソフトしきい値を超えると一時停止してユーザーに確認を求め、ハードキャップに達すると安価なモデルへの切り替えを強制します。Google Driveポリシーでは、エージェントが作成したドキュメントのみ編集を許可し、機密文書を読み取ると書き込み先を自動的に制限します。リスクスコアリングポリシーは各操作にリスク値を割り当て、累積リスクがしきい値を超えると、メール送信などの操作に人間の承認を要求します。
さらに、Omnigentはインテントベースの承認(IBA)をサポートし、ユーザーの最初のプロンプトに基づいてエージェントの権限を制限します。例えば、スライドの更新を依頼した場合、エージェントはGitHubやシェルコマンドにアクセスできなくなります。
メタハーネスとして、OmnigentはClaude Code、Codex、OpenAI Agents SDKなど、多数のエージェントツールやフレームワークをラップできます。ユーザーは既存のエージェント設定を変更することなく、統合されたコンテキストポリシーを適用できます。現在アルファ版で、GitHub上で公開されており、クイックスタートガイドも用意されています。コンテキストポリシーの中核は、セッション中に発生したイベント(エージェントが読んだドキュメントや累計コストなど)を記憶し、その状態に基づいて次のアクションの安全性を判断する点にあります。この設計は、従来のセキュリティにおけるコンテキストセキュリティの概念を応用したもので、エージェントの制御をより柔軟かつ強力にします。例えば、同じGitプッシュ操作でも、エージェントが通常のコードのみを扱っていた場合は許可されますが、信頼できないウェブページを読んだ後はブロックされる可能性があります。この動的な調整能力は、プロンプトインジェクション攻撃の防止に特に重要です。また、Omnigentのアーキテクチャにより、プラットフォームチームはセッションレベルの予算に加えてユーザーごとの日次予算を積み重ねるなど、コストを包括的に管理できます。要約すると、Omnigentはコンテキストポリシーを通じて、AIエージェントのガバナンスに、よりインテリジェントで柔軟なソリューションを提供します。